Aufsichtsbehörden sind bei Datenschutzverstößen nicht in jedem Fall verpflichtet, ein Bußgeld zu verhängen. Vielmehr steht ihnen bei der Durchsetzung der DSGVO ein Auswahlermessen zu, welche Maßnahmen ergriffen werden. Die DSGVO räumt den Aufsichtsbehörden auch die Möglichkeit ein, auf die Verhängung von Bußgeldern zu verzichten, wie der EuGH in einem Fall des Hessischen Datenschutzbeauftragen nun entschied. Untersagung, Anordnung und andere Maßnahmen kjönnen ebenso gewählt werden, wenn sie im konkreten Fall angemessen sind.
Kein Anspruch von Betroffenen auf Verhängung eines Bußgelds
Der Ausgangsfall spielte in einer hessischen Sparkasse: Eine Mitarbeiterin hatte mehrmals unbefugt auf personenbezogene Daten eines Kunden zugegriffen. Die Sparkasse sah davon ab, den Kunden von dem Datenschutzverstoß zu benachrichtigen. Sie ergriff jedoch Disziplinarmaßnahmen gegen die Mitarbeiterin. Diese bestätigte zudem schriftlich, dass sie die personenbezogenen Daten weder kopiert oder gespeichert noch an Dritte übermittelt habe, und sagte zu, dies auch zukünftig nicht zu tun. Zusätzlich meldete die Sparkasse den Vorfall dem Hessischen Datenschutzbeauftragen als zuständiger Aufsichtsbehörde. Hiervon erlangte der Kunde Kenntnis und reichte Beschwerde beim Hessischen Datenschutzbeauftragten ein. Dieser wies die Beschwerde mit der Begründung zurück, dass die Sparkasse nicht ihre Benachrichtigungspflicht gemäß Art. 34 DSGVO verletzt habe. Hiergegen klagte wiederum der Kunde und beantragte, den Hessischen Datenschutzbeauftragen zum Einschreiten gegen die Sparkasse zu verpflichten.
Das VG Wiesbaden legte den Fall dem EuGH vor und wollte von diesem wissen, ob die DSGVO im Fall eines festgestellten Verstoßes gegen Bestimmungen über den Schutz personenbezogener Daten dahin auszulegen sei, dass die Aufsichtsbehörde verpflichtet sei, nach Art. 58 Abs. 2 DSGVO Abhilfemaßnahmen – wie etwa die Verhängung einer Geldbuße – zu ergreifen, oder dahin, dass diese Behörde über ein Ermessen verfüge, das es ihr gestatte, je nach den Umständen vom Erlass solcher Maßnahmen abzusehen.
Der EuGH entschied überzeugend, dass ein Anspruch des Betroffenen auf Verhängung eines Bußgeldes nicht besteht (EuGH, Urteil vom 26. September 2024 – C‑768/21). Die DSGVO sei so auszulegen, dass die Aufsichtsbehörde im Fall der Feststellung einer Verletzung des Schutzes personenbezogener Daten nicht verpflichtet ist, eine Geldbuße zu verhängen. Sie müsse nicht einmal notwendigerweise eine Abhilfemaßnahme zu ergreifen. Entscheidend ist, wie auch sonst im Verwaltungsrecht, welche Maßnahme geeignet, erforderlich und verhältnismäßig ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung der DSGVO zu gewährleisten.
Maßnahmen des Verantwortlichen können Erforderlichkeit des behördlichen Einschreitens entfallen lassen
Der EuGH führt aus, dass die Aufsichtsbehörde bei einem Datenschutzverstoß im Einzelfall ausnahmsweise von einem Einschreiten gegen den Verantwortlichen absehen kann. Dies sei insbesondere dann möglich, wenn der Verantwortliche bereits die erforderlichen Maßnahmen ergriffen hat, damit der Verstoß abgestellt wird und sich nicht wiederholt. Ob im vorliegenden Fall die (Disziplinar-)Maßnahmen der Sparkasse ausreichten, um von der Verhängung eines Bußgeldes absehen zu können, hat nun das VG Wiesbaden zu entscheiden.Die Grenze ist eindeutig gezogen: Sie liegt in der Gewährleistung eines gleichmäßigen und hohen Schutzniveaus für personenbezogene Daten durch einen klar durchsetzbaren Rechtsrahmen.